- Статус
- Offline
- Регистрация
- 23 Авг 2015
- Сообщения
- 1,022
- Реакции
- 561
- Депозит
- 0р
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Вреднос модифицирует настройки прокси в реестре Windows и устанавливает сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик.
Эксперты компании Microsoft предупредили о появлении нового трояна, способного модифицировать настройки прокси-сервера, «прослушивать» зашифрованный трафик, похищать учетные данные, а также другую важную информацию.
Для распространения вредоноса, получившего название Trojan:JS/Certor.A., злоумышленники используют традиционные методы, в частности, спам-рассылку. Электронные письма включают вложение в виде документа Microsoft Word, содержащее встроенный объект OLE, при открытии которого запускается скрипт Jscript. Данный скрипт замаскирован под безобидный файл, не вызывающий подозрений у пользователя. На самом деле код содержит несколько скриптов PowerShell и собственный сертификат, который далее используется для отслеживания и перехвата HTTPS-трафика.
Оказавшись на системе, вредонос модифицирует настройки прокси Internet Explorer в реестре Windows и устанавливает клиент Tor, планировщик задач, утилиту для туннелирования через прокси, а также сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик. Кроме того, троян устанавливает еще один сертификат для браузера Mozilla Firefox, поскольку данный интернет-обозреватель использует собственные настройки прокси.
Далее весь трафик перенаправляется на подконтрольный атакующим прокси-сервер. В результате они могут удаленно отслеживать, перенаправлять, модифицировать трафик и похищать важные данные жертвы.
Эксперты компании Microsoft предупредили о появлении нового трояна, способного модифицировать настройки прокси-сервера, «прослушивать» зашифрованный трафик, похищать учетные данные, а также другую важную информацию.
Для распространения вредоноса, получившего название Trojan:JS/Certor.A., злоумышленники используют традиционные методы, в частности, спам-рассылку. Электронные письма включают вложение в виде документа Microsoft Word, содержащее встроенный объект OLE, при открытии которого запускается скрипт Jscript. Данный скрипт замаскирован под безобидный файл, не вызывающий подозрений у пользователя. На самом деле код содержит несколько скриптов PowerShell и собственный сертификат, который далее используется для отслеживания и перехвата HTTPS-трафика.
Оказавшись на системе, вредонос модифицирует настройки прокси Internet Explorer в реестре Windows и устанавливает клиент Tor, планировщик задач, утилиту для туннелирования через прокси, а также сертификат, позволяющий злоумышленникам прослушивать зашифрованный трафик. Кроме того, троян устанавливает еще один сертификат для браузера Mozilla Firefox, поскольку данный интернет-обозреватель использует собственные настройки прокси.
Далее весь трафик перенаправляется на подконтрольный атакующим прокси-сервер. В результате они могут удаленно отслеживать, перенаправлять, модифицировать трафик и похищать важные данные жертвы.
